Noções básicas de LDAP

O Lightweight Directory Access Protocol (LDAP) é um protocolo de serviço de diretório que é executado através do Transmission Control Protocol/Internet Protocol (TCP/IP).  O LDAP versão 2 foi formalmente definido no Pedido de Comentários (RFC) 1777 do Internet Engineering Task Force (IETF) como Lightweight Directory Access Protocol.  O LDAP versão 3 foi formalmente definido no IETF RFC 2251, como Lightweight Directory Access Protocol (v3).  Pode ver estes RFCs na Internet no seguinte URL:

https://www.ietf.org

O serviço de diretório de LDAP segue um modelo de cliente/servidor.  Um ou mais servidores de LDAP contêm os dados do diretório.  Um cliente de LDAP estabelece ligação a um Servidor de LDAP e faz um pedido.  O servidor contrapõe com uma resposta ou com uma indicação (uma consulta) para outro servidor de LDAP.

Utilizações de LDAP:

Uma vez que o LDAP é um serviço de diretórios, e não uma base de dados, as informações do diretório de LDAP normalmente baseiam-se em atributos descritivos.  Normalmente, os utilizadores de LDAP lêem as informações do diretório muito mais frequentemente do que as alteram.  As atualizações são alterações simples do tipo tudo ou nada.  As utilizações comuns de diretórios de LDAP incluem listas de telefones e listas de endereços de correio eletrônico online.

Estrutura do diretório de LDAP:

O modelo do serviço de diretório de LDAP é baseado nas entradas (que são também referidas como objetos).  Cada entrada é composta por um ou mais atributos como, por exemplo, um nome ou uma morada e um tipo.  Normalmente, os tipos são constituídos por cadeias mnemónicas como, por exemplo, nc para nome comum ou correio para endereço de correio eletrônico.

O diretório exemplo da Figura 1 mostra uma entrada para Tiago Jesus que inclui atributos de correio e de Número de telefone.  Outros atributos possíveis incluem fax, cargo, ap (para apelido) e jpegPhoto.

Cada diretório tem um esquema, que é um conjunto de regras que determinam a estrutura e o conteúdo do diretório.  Deve utilizar IBM SecureWay Directory Management Tool (DMT) para editar os arquivos esquema para o seu servidor de LDAP.  Depois de instalar o Directory Services, os arquivos encontrar-se-ão no sistema em /QIBM/UserData/OS400/DirSrv.

Nota: As cópias originais dos arquivos esquema predefinidos estão localizadas em /QIBM/ProdData/OS400/DirSrv. Se tiver de substituir os arquivos do diretório UserData, poderá copiar esses arquivos para aquele diretório.

Cada entrada de diretório tem um atributo especial denominado classe de Objetos.  Este atributo controla os atributos que são necessários e os atributos que são permitidos numa entrada.  Por outras palavras, os valores do atributo classe de Objetos determinam as regras de esquemas a que a entrada tem de obedecer.

Cada entrada do diretório tem também os seguintes atributos operacionais, mantidos automaticamente pelo servidor de LDAP:

  • CreatorsName, que contém o DN associado, utilizado ao criar a entrada.
  • CreateTimestamp, que contém a hora a que a entrada foi criada.
  • modifiersName, que contém o DN associado, utilizado quando a entrada foi modificada pela última vez (inicialmente este é o mesmo que CreatorsName).
  • modifyTimestamp, que contém a hora a que a entrada foi modificada pela última vez (inicialmente este é o mesmo que CreateTimestamp).

Tradicionalmente, as entradas do diretório de LDAP são dispostas numa estrutura hierárquica, que reflete limites políticos, geográficos ou organizacionais (consultar Figura 1).  As entradas que representam países são apresentadas no topo da hierarquia.  As entradas que representam estados ou organizações nacionais ocupam o segundo nível da hierarquia.  As entradas abaixo dessas podem representar pessoas, unidades organizacionais, impressoras, documentos ou outros itens.

Não está limitado(a) à hierarquia tradicional quando estruturar o seu diretório.  A estrutura "componente de domínio", por exemplo, é cada vez mais popular.  Com esta estrutura as entradas são compostas das partes de nomes de domínio de TCP/IP.  Por exemplo, dc=ibm,dc=com pode ser preferível a o=ibm,c=us.

O LDAP refere-se a entradas com Nomes Distintos (DNs).  Os Nomes Distintos são compostos pelo nome da entrada e pelos nomes, por ordem ascendente, dos objetos que se encontram acima deles no diretório.  Por exemplo, o DN completo da entrada do canto inferior esquerdo da Figura 1 é nc=Tiago Jesus, e=IBM, p=PO.  Cada entrada tem, pelo menos, um atributo utilizado para atribuir um nome à entrada. Este atributo de nomenclatura é denominado Nome Distinto Relativo (RDN) da entrada.  A entrada acima de um RDN especificado é designada por Nome Distinto ascendente.  No exemplo dado acima, cn=Tiago Jesus dá o nome à entrada, pelo que é o RDN. o=IBM, c=PO é o DN principal para cn=Tiago Jesus.

Para dar a um servidor de LDAP a possibilidade de gerir parte de um diretório de LDAP, especifique os nomes distintos ascendentes de nível superior na configuração do servidor.  Estes nomes distintos denominam-se sufixos.  O servidor pode acessar a todos os objetos do diretório que estejam por baixo do sufixo especificado na hierarquia de diretórios.  Por exemplo, se um servidor de LDAP contivesse o diretório mostrado na Figura 1, teria o sufixo e=ibm, p=po especificado na configuração para poder responder a consultas do cliente relativamente a "Tiago Jesus".

Figura 1. Uma estrutura básica do diretório de LDAP



Diagrama de uma estrutura básica do directório de LDAP

 

Algumas observações sobre o LDAP e o Directory Services:

  • A partir da V4R5, tanto o servidor de LDAP do OS/400 como o cliente de LDAP do OS/400 são baseados no LDAP, Versão 3.  Pode utilizar um cliente V2 com um servidor V3.  Contudo, não pode utilizar um cliente V3 com um servidor V2, a não ser que estabeleça uma associação como cliente V2 e utilize apenas APIs V2.  Consulte as considerações V2/V3 de LDAP para obter mais detalhes.
  • O cliente de LDAP do Windows é também baseado no LDAP, Versão 3.
  • Como o LDAP é um protocolo standard, todos os servidores de LDAP partilham muitas características base.  No entanto, devido a diferenças de implementação, não são todos totalmente compatíveis entre si.  O servidor de LDAP fornecido pelo Directory Services é bastante compatível com outros servidores de diretórios de LDAP do grupo de produtos do IBM SecureWay.  No entanto, pode não ser tão compatível com outros servidores de LDAP.
  • Os dados do servidor de LDAP fornecidos pelo Directory Services residem numa base de dados do OS/400.

.

Consultas do diretório de LDAP

As consultas permitem que os servidores de diretório de LDAP funcionem em equipamentos.  Se o DN pedido por um cliente não estiver num diretório, o servidor pode enviar (consultar) automaticamente o pedido para qualquer outro servidor de LDAP. O Directory Services permite-lhe utilizar tipos de...

.

A IBM SecureWay Directory Management Tool

A IBM SecureWay Directory Management Tool (DMT) fornece-lhe uma interface de utilizador gráfica para gerir o conteúdo dos diretórios de LDAP.  As tarefas que pode realizar com a DMT incluem: Procurar esquemas de diretórios Adicionar, editar e eliminar classes de objetos Adicionar,...

.

Considerações para utilizar V2 de LDAP com V3 de LDAP

A partir da V4R5, tanto o servidor de LDAP do OS/400 como o cliente de LDAP do OS/400 são baseados no LDAP, Versão 3.  Não pode utilizar um cliente V3 com um servidor V2.  Contudo, pode utilizar a API ldap_set_option() para alterar a versão de um cliente V3 para V2.  Assim...